1. Введение

На современном этапе развития нашего общества многие традиционные ресурсы человеческого прогресса постепенно утрачивают свое первоначальное значение. На смену им приходит новый ресурс, единственный продукт не убывающий, а растущий со временем, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Чем больше и быстрее внедряется качественной информации в народное хозяйство и специальные приложения, тем выше жизненный уровень народа, экономический, оборонный и политический потенциал страны.

В настоящее время хорошо налаженная распределенная сеть информационно-вычислительных комплексов способна сыграть такую же роль в общественной жизни, какую в свое время сыграли электрификация, телефонизация, радио и телевидение вместе взятые. Ярким примером этому стало развитие глобальной сети Internet. Уже принято говорить о новом витке в развитии общественной формации - информационном обществе.

Любая предпринимательская деятельность тесно связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Целостность современного мира как сообщества обеспечивается, в основном, за счет интенсивного информационного обмена. Приостановка глобальных информационных потоков даже на короткое время способно привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений. Поэтому в новых рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспечением сохранности коммерческой (предпринимательской) информации как вида интеллектуальной собственности, но и физических и юридических лиц, их имущественной собственности и личной безопасности.

Учитывая известный афоризм «цель оправдывает средства», информация представляет определенную цену. И поэтому сам факт получения информации злоумышленником приносит ему определенный доход, ослабляя тем самым возможности конкурента. Отсюда главная цель злоумышленника - получение информации о составе, состоянии и деятельности объекта конфиденциальных интересов (фирмы, изделия, проекта, рецепта, технологии и т. д.) в целях удовлетворения своих информационных потребностей. Возможно в корыстных целях и внесение определенных изменений в состав информации, циркулирующей на объекте конфиденциальных интересов. Такое действие может привести к дезинформации по определенным сферам деятельности, учетным данным, результатам решения некоторых задач. Более опасной целью является уничтожение накопленных информационных массивов в документальной или магнитной форме и программных продуктов. В связи с этим все большее значение приобретает организация эффективной системы информационной безопасности.

Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.

Целью данной курсовой работы является обеспечение защиты данных в информационной системе предприятия ООО магазин «Стиль».

Исходя из поставленной цели, необходимо решить следующие задачи:

1. Обследовать существующую инфраструктуру ООО магазин «Стиль» и определить исходные данные для проектирования системы ИБ;

2. Определить минимальные требования на основе потребностей в ИБ;

3. Разработать концепцию ИБ;

4. Проанализировать риски;

5. Разработать политику ИБ и выбрать решения по обеспечении политики ИБ;

6. Разработать систему информационной безопасности.

2. 1. Обследование существующей инфраструктуры и определение исходных данных для проектирования системы ИБ

4. 1.1 Организационная структура

Полное фирменное наименование: Общество с ограниченной ответственностью магазин «Стиль».

Сокращенное наименование: ООО магазин «Стиль».

Орган, осуществивший государственную регистрацию: Росстат Территориальный орган Федеральной службы Государственной статистики по Омской области (ОмскСтат).

Дата государственной регистрации компании: 03.03.1999 г. Номер свидетельства о государственной регистрации: ОГРН – 1046182528418.

Адрес места нахождения: 644010, Россия, Омская область, г. Омск, ул. Ленинградская площадь 1.

Юридический адрес: 644010, Россия, Омская область, г. Омск, ул. Ленинградская площадь 1.

Почтовый адрес: 644010, Россия, Омская область, г. Омск, ул. Ленинградская площадь 1.

Тел.: (3812) 58–07–79;

Руководство: Генеральный директор – Узкова Лариса Александровна.

ООО магазин «Стиль» осуществляет розничную продажу одежды и обуви. Основной целью организации, как полностью коммерческого предприятия, состоит в получении прибыли от своей деятельности и максимально длительный срок оставаться на рынке, стремясь расширять свой ассортимент и рынок сбыта.

Предприятие работает с множеством различных поставщиков. Заказ товара происходит по телефону. Оплата товара поставщикам осуществляется путем безналичного расчета платежным поручением.

Процесс продаж происходит следующим образом: клиент покупает необходимые комплектующие в розницу через розничный магазин предприятия. Расчет производится наличными деньгами через кассу. Все обслуживание клиентов осуществляется продавцами розничного магазина.

Бухгалтерскую документацию ведут бухгалтера. Они также занимаются сдачей регулярных отчетов в налоговую службу.

1. 1.2 Состав и выполняемые функции должностных лиц

Персонал предприятия:

• директор – осуществляет непосредственное руководство процессами организации, производит безналичные расчеты с поставщиками и покупателями, производит анализ прошлых продаж и принимает заявки от менеджера на заказ товаров, на основе анализа и заявок производит заказ необходимых товаров у поставщиков, ищет возможности для расширения ассортимента;

• менеджер – передаёт директору заявки на заказ товаров у поставщиков;

• продавцы – производят розничную реализацию в торговом зале, после продажи товаров делают отметки в базе данных о количестве реализованной продукции, являются ответственным за хранение комплектующих;

• системный администратор – осуществляет настройку и установку оборудования, занимается устранением неполадок с ПО и компьютерным оборудованием, следит за работоспособностью компьютеров и периферийного оборудования.

• Бухгалтерия ООО магазин «Стиль» осуществляет сплошное, непрерывное, взаимосвязанное, документальное отражение хозяйственной деятельности данного предприятия.

Функции данного отдела организации возлагаются на соответствующие должностные лица (бухгалтеров), которые производят учет, необходимый для характеристики отдельных сторон деятельности компании. Указанные должностные лица несут ответственность за правильное и своевременное оформление хозяйственных операций, а также обеспечивают сохранность и учет денежных средств, циркулирующих в процессе осуществления хозяйственной деятельности организации.

С бухгалтерами заключаются договоры о полной материальной ответственности в соответствии с законодательством РФ.

Организационная структура предприятия в виде графической схемы представлена на рисунке 1.

Рисунок 1. Организационная структура ООО магазин «Стиль»

2. 1.3 Состав и назначение аппаратных и программных средств

ЛВС бухгалтерии ООО магазин «Стиль» создана с учетом единых концептуальных положений, лежащих в основе построения современных вычислительных сетей связи. Основу таких положений в первую очередь составляет использование общих принципов построения и однородного активного сетевого оборудования.

Сетевая структура ЛВС компании содержит несколько выраженных иерархических уровней. ЛВС бухгалтерии представляет фрагмент корпоративной сети, данный фрагмент сети состоит из нескольких сегментов, подключенных к магистрали более высокого уровня и осуществляющих доступ информационным ресурсам сети. ЛВС построена на базе стандарта Ethernet 10/100 Base-T.

Стандарт Ethernet 10/100 Base-T подходит для работы с различными операционными системами и сетевым оборудованием. Применение этого стандарта позволяет простыми методами добиться стабильной работы сети.

Для построения сети необходимо выбрать кабель, от качества и характеристик которого во многом зависит качество работы сети. В данном случае использована неэкранированная витая пара категории 5.

Конфигурация сети представлена в таблице 1.

Таблица 1

Компонент/характеристика	Реализация
Топология	Звезда
Линия связи	Неэкранированная витая пара категории 5
Сетевые адаптеры	Ethernet 10/100 Base-T
Коммуникационное оборудование	Коммутатор Ethernet 10/100 Base-T
Совместное использование периферийных устройств	Подключение сетевых принтеров через компьютеры к сетевому кабелю. Управление очередями к принтерам осуществляется с помощью программного обеспечения компьютеров.
Поддерживаемые приложения	Организация коллективной работы в среде электронного документооборота, работа с базой данных.

При выборе сетевых компонентов необходимо придерживаться следующих общих требований:

• компьютеры должны обладать хорошим быстродействием, чтобы обеспечить работу всех сетевых служб и приложений в реальном времени без заметного замедления работы;

• жесткие диски компьютеров должны быть максимально надежными для того, чтобы обеспечить безопасность и целостность хранимых данных;

• сетевые принтеры должны устанавливаться в зависимости от местоположения пользователей, активно их использующих;

• коммутатор, являющийся центральным устройством данной сети, необходимо располагать в легкодоступном месте, чтобы можно было без проблем подключать кабели и следить за индикацией.

Перечисленные требования определили следующую конфигурацию сетевых компонентов: все компьютеры сети на базе процессора Intel Pentium 4, в качестве сетевого принтера выбрано многофункциональное устройство (лазерное), поскольку они имеют наибольший ресурс и малые затраты на расходные материалы.

Конфигурация рабочих станций приведена в таблице 3.

Таблица 3

Наименование товара	Количество, шт.
Материнская плата MSI 945G Neo2-F (i945G, LGA775, Dual DDRII-667, Video, LAN, ATX)	3
Процессор Intel Celeron D 346 (3,06 Ghz, LGA775, EM64T)	3
Оперативная память Transcend DIMM 512MB DDRII-533	3
Жесткий диск Seagate Barracuda 7200.9 ST3120814A 120,0Gb (U-ATA, 7200 rpm)	3
Корпус InWin S523T (MidiTower, ATX, USB, 350Вт, Fan, белый)	3
Монитор NEC (LCD) AccuSync 73V (17", 1280x1024, 500:1)	3
Мышь Genius NetScroll Eye Mouse (оптика, PS/2)	3
Клавиатура Logitech Value Keyboard (PS/2)	3

Конфигурация сетевого оборудования приведена в таблице 4.

Таблица 4

Наименование товара	Количество
Коммутатор D-Link DES-1016D (UTP, 16 x 10/100)	1 шт.
Кабель UTP (Alcatel, категория 5)	40 м.
Коннектор RJ-45 (категория 5)	6 шт.

Конфигурация периферийного оборудования приведена в таблице 5.

Таблица 5

Наименование товара	Количество, шт.
Принтер Hewlett Packard LaserJet P2015 (A4, 1200dpi, 26 ppm, 32Mb, USB 2.0)	1

Конфигурация программного обеспечения приведена в таблице 6.

Таблица 6

Наименование товара	Количество, шт.
Windows Server 2003 Std Russian R2 (OEM)	1
Windows XP Professional Russian SP2 (OEM)	3
Office 2003 Standart Edition Russian SP2 (Коробка)	3
1С:Бухгалтерия 7.7	1
Лицензия на 10 доп. рабочих мест для «1С: Бухгалтерия 7.7»	1
Лицензия на сервер для «1С: Бухгалтерия 7.7»	1
Kaspersky Enterprise Space Security	1

Таким образом, с помощью программных и аппаратных средств в бухгалтерии ООО магазин «Стиль» решаются следующие задачи:

1. Организация общедоступной базы данных с помощью бухгалтерской программы «1С: Бухгалтерия 7.7».

2. Совместная обработка информации пользователями.

3. Централизованное резервное копирование всех данных.

4. Контроль за доступом к данным.

5. Совместное использование оборудования и программного обеспечения.

План помещения показан на рис. 2.

Рисунок 2. План помещения ООО магазин «Стиль»

1. 1.4 Основные цели защиты информации на предприятии

Формулирование целей и задач защиты информации, как любой другой деятельности, представляет начальный и значимый этап обеспечения безопасности информации. Важность этого этапа часто недооценивается и ограничивается целями и задачами, напоминающими лозунги. В то же время специалисты в области системного анализа считают, что от четкости и конкретности целей и постановок задач во многом зависит успех в их достижении и решении. Провал многих, в принципе полезных, начинаний обусловлен именно неопределенностью и расплывчатостью целей и задач, из которых не ясно, кто, что и за счет какого ресурса предполагает решать продекларированные задачи.

Цели защиты информации сформулированы в ст. 20 Закона РФ «Об информации, информатизации и защите информации»:

• предотвращение утечки, хищения, искажения, подделки информации;

• предотвращение угроз безопасности личности, общества, государства;

• предотвращение несанкционированных действий по уничтожению, модификации, копированию, блокированию информации, предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима как объекта собственности;

• защита конституционных прав граждан по сохранению личной тайны, конфиденциальности персональных данных, имеющихся в информационных системах;

• сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения.

В общем виде цель защиты информации определяется как обеспечение безопасности информации, содержащей государственную или иные тайны. Но такая постановка цели содержит неопределенные понятия: информация и безопасность.